W grudniu 2025 roku Komisja Nadzoru Finansowego nałożyła na spółkę płatniczą ZEN.COM karę administracyjną w wysokości 1,8 mln EUR za braki w safeguardingu — czyli ochronie środków klientów wymaganej przez Dyrektywę PSD2 oraz polską ustawę o usługach płatniczych. To jedna z najwyższych kar wymierzonych dotąd przez KNF spółce płatniczej i wyraźny sygnał, że nadzór finansowy w Polsce zaostrza egzekwowanie wymogów operacyjnych — nie tylko formalnych.
Co konkretnie zarzucono spółce
Decyzja KNF wskazuje na kilka równolegle występujących uchybień, które razem składały się na systemowe niespełnianie wymagań ochrony środków klientów:
- Spółka nie prowadziła codziennej rekoncyliacji środków klientów z saldem rachunku safeguardingowego, mimo że obowiązek operacyjny wynika wprost z art. 78 ustawy o usługach płatniczych.
- Spółka stosowała model safeguardingu nieadekwatny do skali działalności — formalnie deklarowała segregację, ale w praktyce środki klientów były miksowane z operacyjnymi.
- Spółka nie posiadała udokumentowanego planu zwrotu środków (resolution pack) na wypadek niewypłacalności, choć KNF traktuje go jako wymóg kluczowy dla podmiotów płatniczych typu EMI i KIP.
- Spółka nie zapewniła wystarczającego nadzoru wewnętrznego — Compliance Officer ds. safeguardingu nie miał zdefiniowanej procedury raportowania do zarządu.
Trzy modele safeguardingu — który wybrać
Polskie prawo (art. 78 ustawy o usługach płatniczych w związku z art. 10 PSD2) przewiduje trzy alternatywne modele ochrony środków klientów. Wybór nie jest dobrowolny — każdy musi być uzasadniony pod KNF w toku procedury licencyjnej:
| Model | Na czym polega | Dla kogo typowo |
|---|---|---|
| Segregacja na osobnym rachunku | Środki klientów na dedykowanym rachunku w banku, oddzielonym księgowo od majątku spółki | Większość KIP średniej skali |
| Polisa ubezpieczeniowa | Wykupiona polisa pokrywająca pełną kwotę środków klientów | Spółki z ekspozycją zmienną |
| Gwarancja bankowa | Gwarancja banku pokrywająca pełną kwotę środków | Spółki o stałej, dużej ekspozycji |
ZEN.COM wybrał segregację, ale jak ustaliła KNF, faktyczne praktyki operacyjne odbiegały od deklaracji licencyjnej. To rozbieżność między deklaracją a praktyką była głównym powodem kary — nie sam wybór modelu.
Lekcja dla każdej firmy płatniczej
Sprawa ZEN.COM uświadamia, że KNF coraz wnikliwiej weryfikuje operacyjne wdrożenie wymogów PSD2 — nie tylko ich formalne zadeklarowanie w dokumentacji licencyjnej. W praktyce oznacza to, że każda firma posiadająca licencję KIP, EMI lub MIP powinna:
- Powinna codziennie dokumentować rekoncyliację z pełnym śladem operacyjnym, który wskazuje kto wykonał czynność, kiedy oraz jakiej kwoty dotyczyła.
- Powinna utrzymywać aktualny resolution pack — gotowy plan zwrotu środków klientom w razie niewypłacalności, z wyznaczonymi rolami i terminami.
- Powinna zapewnić niezależność Compliance Officera ds. safeguardingu, który raportuje bezpośrednio do zarządu i prowadzi regularne audyty wewnętrzne.
- Powinna monitorować zgodność z licencją — każda zmiana modelu biznesowego, kanałów dystrybucji lub skali działalności wymaga aktualizacji dokumentacji wobec KNF.
Co przewiduje pakiet PSD3 / PSR (Q3 2026)
Nadchodzący pakiet rewizji PSD2 — Dyrektywa PSD3 oraz Rozporządzenie PSR (Payment Services Regulation) — wzmocni wymogi safeguardingu jeszcze bardziej. Wszystkie KIP i EMI muszą przygotować się wcześniej, ponieważ stare praktyki operacyjne nie zostaną automatycznie zalegalizowane. Najistotniejsze zmiany:
- PSR będzie obowiązywał bezpośrednio jako rozporządzenie (bez transpozycji), co wyeliminuje rozbieżności między państwami członkowskimi.
- Pakiet rozszerzy wymogi wobec AISP i PISP w zakresie ochrony danych transakcji.
- Sankcje za naruszenie wymogów safeguardingu staną się znacząco surowsze.
Jak to robimy w Kancelarii Kozłowski
Pakiet dokumentacji PSD2 / EMD2 dla naszych klientów obejmuje wszystkie trzy modele safeguardingu w wersji wzorcowej — klient wybiera ten, który odpowiada jego modelowi biznesowemu, my dostarczamy operacyjną dokumentację: politykę safeguardingu, procedurę reconciliation, resolution pack, procedurę Compliance Officera oraz wzorce raportów dla KNF. Każdy dokument jest dostosowany do typu podmiotu (KIP / EMI / MIP / BUP) i podpisany przez radcę prawnego z OC 10 mln PLN.
Sprawa ZEN.COM nie jest pojedynczym precedensem — to początek nowej fali kontroli KNF w sektorze płatniczym. Najlepszą ochroną przed podobnym scenariuszem jest dokumentacja zgodna nie tylko z literą prawa, ale z aktualnymi oczekiwaniami nadzoru.
Zapraszamy do kontaktu z naszym działem obsługi klienta, jeśli chcą Państwo przeprowadzić audyt zgodności swojej dokumentacji safeguardingowej lub przygotować się do nadchodzących zmian PSD3 / PSR.